 INTRODUCERE Evaluarea riscului de audit este efectuata în primele faze ale procesului de planificare a auditului, dupa colectarea tuturor informatiilor relevante referitoare la activitatile entitatii si sistemul de control intern ale acesteia Pentru a evalua riscul , auditorii trebuie sa efectueze o analiza a contextului în care functioneaza entitatea auditata, precum si caracteristicile operatiunilor auditate prin interviuri cu conducerea entitatii si cunoasterea activitatii acesteia, obtinuta din rapoartele auditurilor precedente Riscul si incertitudinea au un impact important asupra unei persoane sau organizatii, prin faptul ca ele genereaza un cost, cunoscut sub denumirea de costul riscului Este general acceptat faptul ca riscul da nastere unor costuri specifice, care într-o lume cu certitudine absoluta n-ar exista IDENTIFICAREA SI ANALIZAREA RISCULUI Notiuni introductive Evaluarea riscului de audit este efectuata în primele faze ale procesului de planificare a auditului, dupa colectarea tuturor informatiilor relevante referitoare la activitatile entitatii si sistemul de control intern ale acesteia Într-o faza preliminara, pe baza procedurilor si testelor pe care le considera necesare, auditorul determina si analizeaza riscurile care pot influenta expunerea unei opinii necorespunzatoare în raportul de audit Efectuarea acestei analize este importanta deoarece în functie de riscurile auditului se aleg procedurile de lucru, se stabilesc întinderea procedurilor, testelor si sondajelor, precum si modul de aplicare a acestora Din punct de vedere al posibilitatilor de a se produce, exista riscuri potentiale si riscuri posibile a) Riscurile potentiale sunt cele mai susceptibile teoretic de a se produce, dar nici un control nu se exercita pentru a fi prevenite, descoperite si corectate Aceste riscuri sunt comune tuturor entitatilor b) Riscurile posibile reprezinta acea parte a riscurilor potentiale pentru care managementul entitatii nu a întreprins masuri eficiente menite de a le limita Ca urmare, exista o mare probabilitate ca erorile sa se produca fara a fi detectate si corectate În exercitarea misiunii sale de audit auditorul se confrunta într-o entitate, cu urmatoarele tipuri de riscuri : a) Riscuri generale specifice entitatii; b) Riscuri legate de natura operatiunilor tratate; c) Riscuri legate de conceperea si functionarea sistemelor; d) Riscuri legate de procedeele si domeniile semnificative alese de auditori a) Riscurile generale specifice entitatii - sunt acele riscuri care influenteaza ansamblul operatiilor entitatii si se refera la : ? riscuri legate de situatia economica a entitatii Situatia economica difera în functie de situatia financiara a acestuia În cazul când entitatea cere o situatie financiara sanatoasa, fara dificultate, managementul acestuia are tendinta sa duca o politica conservatoare si sa neglijeze anumite functii ale întreprinderii, sau ale managementului (inclusiv aceea de control) În cazul în care entitatea este în dificultate financiara, conducerea poate avea reactii necontrolate periculoase, fiind tentata sa efectueze operatiuni ilicite (evaziune fiscala, sa apeleze la credite cu dobânzi foarte mai s a , sau sa amâne luarea unor decizii bune din lipsa mijloacelor financiare; ? riscuri legate de natura si complexitatea standardelor si regulilor Cu cât aceste nereguli sunt mai complexe, cu atât sunt mai mari sistemele de eroare De exemplu, riscul de eroare la evaluarea productiei în avans, la produsele cu ciclu lung de fabricatie, este mai mare decât la evaluarea stocurilor din comert; ? riscuri legate de capacitatea gestiunii economico-financiare O buna gestionare a resurselor, un proces decizional de calitate, un management performant, determina o reducere a riscului ? riscuri legate de sistemul contabil si sistemul de control intern Evidenta tehnico-operativa si contabila, trebuie astfel concepute încât sa asigure prevenirea, deteriorarea si corectarea oricaror erori Sistemul contabil si de control intern,organizate si aplicate cu rigoare, reprezinta mijloace eficiente împotriva riscurilor de erori; ? riscuri legate de atitudinea conducerii Atitudinea conducerii poate contribui la limitarea sau cresterea riscurilor în general, aceasta atitudine poate merge de la ignorarea riscurilor (a celor cu probabilitate mica si impact scazut) pâna la utilizarea de proceduri de control intern detaliate pentru prevenirea si diminuarea celorlalte categorii de riscuri; ? riscuri legate de natura operatiilor tratate În contabilitate, riscurile de erori sunt determinate de calitatea si fiabilitatea sistemului contabil; ? riscuri legate de conceperea si functionarea sistemelor Fiabilitatea si functionarea corespunzatoare a sistemelor contabile si de control intern, determina diminuarea corespunzatoare a riscurilor; ? riscuri legate de procedurile si domeniile semnificative alese de auditori, care sunt determinate în functie de experienta si pregatirea profesionala, de procedeele alese de auditori, care în mod inevitabil prezinta un anumit nivel de risc Procedura de evaluare a riscurilor (care cuprinde elemente de gestionare a riscurilor) poate fi împartita într-o serie de etape 1 Stabilirea unui program de evaluare a riscurilor la locul de munca 2 Structurarea evaluarii (deciderea asupra abordarii: geografice/functionle/procesuale/de flux) 3 Colectarea informatiilor 4 Identificarea pericolelor 5 Identificarea persoanelor expuse 6 Identificarea tipurilor de expunere în rândul celor expusi 7 Evaluarea riscurilor (probabilitatea vatamarii/gradul de vatamare în circumstantele existente) 8 Cercetarea optiunilor pentru eliminarea sau controlarea riscurilor 9 Stabilirea prioritatilor activitatilor si deciderea asupra masurilor de control 10 Punerea în aplicare a masurilor de control 11 Înregistrarea evaluarii 12 Masurarea eficientei activitatii 13 Revizuirea (daca se introduc schimbari sau daca revizuirea se face periodic) 14 Monitorizarea programului de evaluare a riscurilor 15 Pentru mai multe întreprinderi, mai ales întreprinderile mici si mijlocii, o abordare simpla, în cinci etape (care cuprinde elemente de gestionare a riscurilor), precum cea prezentata mai jos, ar trebui sa functioneze la fel de bine Etapa 1 Identificarea pericolelor si a persoanelor expuse Identificarea surselor posibile de vatamare la locul de munca si a lucratorilor care pot fi expusi pericolelor Etapa 2 Evaluarea riscurilor si clasificarea acestora în ordine prioritara Evaluarea riscurilor existente (gravitatea si probabilitatea unor posibile vatamari ) si clasificarea acestora în ordine prioritara în functie de importanta Etapa 3 Deciderea actiunilor preventive Identificarea masurilor corespunzatoare pentru eliminarea sau tinerea sub control a riscurilor Etapa 4 Adoptarea de masuri concrete Adoptarea masurilor de prevenire si protectie pe baza unui plan care stabileste ordinea de prioritate Etapa 5 Monitorizarea si revizuirea Evaluarea trebuie revizuita la intervale regulate, pentru a asigura o actualizare permanenta Însa, este important de stiut faptul ca exista si alte metode care functioneaza la fel de bine, mai ales în cazul unor riscuri si circumstante mai complexe Tipul de abordare aplicat pentru evaluare va depinde de: * felul locului de munca (de exemplu, un loc de munca fix sau unul care implica deplasarea) * tipul procesului (de exemplu, operatiuni repetate, procese de dezvoltare/schimbare, munca la cerere) * sarcina realizata (de exemplu, sarcini repetate, ocazionale sau cu un grad ridicat de risc) * complexitatea tehnica În unele cazuri, poate fi potrivit un singur exercitiu care sa acopere toate riscurile sau activitatea de la locul de munca În alte cazuri, este posibil ca diferite abordari sa fie potrivite pentru diferite parti ale unui loc de munca Costul riscului Riscul si incertitudinea au un impact important asupra unei persoane sau organizatii, prin faptul ca ele genereaza un cost, cunoscut sub denumirea de costul riscului Este general acceptat faptul ca riscul da nastere unor costuri specifice, care într-o lume cu certitudine absoluta n-ar exista O prima categorie de cost al riscului este costul pierderilor - un bun material este distrus, o persoana este ranita, organizatia este nevoita sa plateasca despagubiri unei terte parti În capitolele 3, 4, 5 si 6 ale acestei carti vom examina în detaliu tipurile de pierderi si daune cu care este confruntata o organizatie economica, prezentând si modalitati de evaluare a acestora Un al doilea tip de cost este costul incertitudinii însasi Acest cost poate fi tradus cel mai simplu prin termenul de "îngrijorare" De exemplu, chiar daca un individ nu a avut niciodata un accident de masina, prezenta riscului de accident îi 19 poate provoca (alaturi de costurile implicate de încheierea unei asigurari) anxietate si nopti nedormite Povara nesigurantei este de asemenea prezenta la o persoana care are de luat o decizie de importanta majora (cum ar fi, de exemplu, cumpararea unei locuinte sau alegerea partenerului de viata) La nivel organizational, costul incertitudinii se poate manifesta de asemenea prin îngrijorare si anxietate, dar cel mai adesea se concretizeaza în alocarea necorespunzatoare a resurselor corporatiei Întreprinderea nu-si va desfasura fondurile de o maniera optima, întrucât frica de pierderi poate descuraja investitiile în activitatile considerate prea riscante, sau poate împiedica utilizarea unor anumite surse de finantare (de exemplu creditele) Costul incertitudinii, desi foarte dificil de masurat, poate fi în unele cazuri mai daunator decât costul pierderilor propriu-zise În sfârsit, a treia grupa de costuri generate de existenta riscului o constituie costul gestiunii riscurilor, cuprinzând toate cheltuielile efectuate în scopul reducerii primelor doua categorii de costuri În cazul unui individ, costul achizitionarii unei alarme auto sau prima anuala platita pentru o asigurare de viata sunt exemple bune în acest sens În cazul unei organizatii, costurile gestiunii riscurilor se împart la rândul lor în doua mari categorii În prima categorie intra toate costurile antrenate, pe de o parte, de evitarea, prevenirea sau minimizarea pierderilor, iar pe de alta parte de acoperirea pierderilor care s-au produs deja Vorbim aici despre costul controlului riscurilor (prevenirea si stingerea incendiilor, evitarea accidentelor de munca, descurajarea furturilor si delapidarilor etc ) si de costul finantarii riscurilor (prime de asigurare, provizioane, despagubiri etc ) În cea de-a doua categorie intra cheltuielile generate de organizarea si functionarea activitatilor de management al riscului în organizatie: salarii, formare, deplasari, onorariile platite consultantilor externi etc Potrivit unor statistici occidentale, costurile legate de pierderi se ridica la aproximativ 75% din costul riscului la nivel de corporatie; costurile legate de asigurari la aproximativ 20%, iar circa 5% este reprezentat de costurile administrative de management al riscului Riscul de audit, definire, componenta, modalitati de stabilire Riscul de audit (R A ) reprezinta riscul pe care auditorul îl atribuie unei opinii de audit neadecvate, atunci când situatiile financiare contin informatii eronate material Nivelul de siguranta constituie încrederea obtinuta prin aplicarea procedurilor de audit, în sensul ca erorile cumulate din situatiile financiare nu vor fi mai mari decât nivelul materialitatii Este necesar ca un auditor sa fie încrezator ca rezultatele si concluziile formulate la finalul auditului sunt corecte În general este agreat un nivel acceptabil al riscului de audit existent în timpul efectuarii auditului, care se refera la masura în care auditorul este dispus sa accepte ca situatiile financiare sunt eronate, dupa efectuarea auditului Daca auditorul doreste un nivel al riscului de audit scazut, aceasta înseamna ca doreste sa fie cât mai sigur ca situatiile financiare nu contin erori materiale Astfel, daca presupunem ca riscul este 0 (nu exista risc), asigurarea auditului va fi 100 (situatiile financiare sunt 100% corecte) Deci, riscul de audit + nivelul de siguranta = 100% Riscul de audit are trei componente principale : riscul inerent, riscul de control si riscul de nedetectare Modelul riscului de audit Reprezinta o forma cantitativa a relatiilor dintre riscul de audit (R A ), riscul inerent (R I ), riscul de control (R C ) si riscul de nedetectare (R N ) Riscul de audit = riscul inerent x riscul de control x riscul de nedetectare sau, RA = RI x RC x RN Riscul inerent Riscul inerent (RI) reprezinta susceptibilitatea unui sold al unui cont sau a unei categorii de tranzactii, la informatii eronate care ar putea fi materiale individual, sau atunci când sunt cumulate cu informatii eronate din alte solduri sau tranzactii, presupunând ca nu au existat controale interne corespunzatoare În dezvoltarea generala a unui plan de audit, auditorul trebuie sa evalueze riscul inerent Riscul inerent este masura în care auditorii evalueaza probabilitatea ca unele situatii financiare eronate sa se produca în practica, acestea fiind considerate slabiciuni ale controalelor interne Daca auditorul ajunge la concluzia ca exista o probabilitate ridicata ca erorile din situatiile financiare sa nu fie depistate de controalele interne, înseamna ca el apreciaza un risc inerent ridicat Includerea nivelului riscului inerent în modelul riscului de audit, presupune ca auditorii vor încerca sa previzioneze segmentele din situatiile financiare care prezinta cea mai mica si respectiv cea mai mare probabilitate de a fi eronate Aceste informatii afecteaza dimensiunea probelor de audit necesare a fi colectate de auditor si influenteaza eforturile auditorilor în activitatea alocata colectarii probelor pe parcursul auditului Exista de asemenea, riscul ca entitatea prin managementul acesteia sa faca unele declaratii eronate, care în mod individual sau cumulate pot conduce la situatii financiare false Declaratiile eronate pot fi intentionate sau neintentionate Riscul inerent reprezinta probabilitatea ca declaratiile sa fie eronate înainte de a lua în considerare controalele interne ale entitatii Când evalueaza riscul inerent auditorul va lua în considerare urmatorii factori : ?rezultatele auditurilor precedente; ?angajamentele initiale, comparativ cu rezultatele; ?tranzactiile neobisnuite sau complexe; ?rationamentul profesional avut în vedere la stabilirea soldurilor conturilor si la înregistrarea tranzactiilor; ?activele care sunt susceptibile la delapidari; ?formarea populatiei si dimensiunea esantionului; ?schimbarile în cadrul conducerii si reputatia acesteia; ?natura activitatii entitatilor, incluzând natura productiei realizate si a serviciilor prestate de aceasta; ?natura sistemului de procesare a datelor si gradul de utilizare al tehnicilor moderne pentru comunicare Analizarea riscului inerent Pentru a evalua riscul inerent, auditorii trebuie sa efectueze o analiza a contextului în care functioneaza entitatea auditata, precum si caracteristicile operatiunilor auditate prin interviuri cu conducerea entitatii si cunoasterea activitatii acesteia, obtinuta din rapoartele auditurilor precedente Auditorul trebuie sa evalueze factorii de mai sus, pentru a stabili riscul inerent specific fiecarui ciclu de tranzactii, cont si obiectiv al auditului Unii factori vor afecta mai multe sau probabil toate clasele de conturi, în timp ce alti factori cum ar fi tranzactiile neobisnuite, vor afecta numai anumite clase de conturi (specifice) Pentru fiecare entitate sau clasa de conturi, decizia de a evalua un risc inerent corespunzator, depinde în principal de rationamentul profesional al auditorului Astfel, mai multi auditori stabilesc un risc inerent de 50%, chiar în cele mai bune circumstante si de 100% atunci când exista oricând posibilitatea aparitiei unor erori materiale De regula, auditorii recurg la întocmirea si completarea unei liste de întrebari si în functie de raspunsurile primite si pe baza rationamentului profesional, evalueaza riscul inerent ca fiind ridicat, mediu, scazut Riscul inerent poate fi exprimat fie în termeni cuantificabili (ex: în procente), fie în termeni necuantificabili (ex: ridicat, mediu, scazut) Riscul de control Riscul de control (RC) reprezinta riscul ca o eroare semnificativa, ce ar putea aparea în soldul unui cont sau într-o categorie de tranzactii si care ar putea fi materiala individual sau atunci când este cumulata cu alte informatii eronate din alte solduri sau categorii de tranzactii, sa nu poata fi prevenita sau detectata si corectata în timp util de catre sistemul contabil si sistemul de control intern Cu alte cuvinte, riscul de control este acel risc ca erorile din situatiile financiare sa nu poata fi detectate si corectate de sistemul de control intern Sistemul de control intern al entitatii auditate cuprinde doua componente : ? mediul de control; ? procedurile de control intern Procesul de evaluare a riscului de control : În mod evident, când controalele interne functioneaza si sunt foarte bune, auditorii se vor putea bizui pe ele, deci avem un mediu de control bun Dimpotriva, daca controalele sunt reduse ca numar si slabe cantitativ, auditorii nu se pot bizui pe ele, deci avem un mediu de control slab - inexistent Ineficacitatea controalelor interne conduce la cresterea riscului de control si îi va determina pe auditori sa nu aiba încredere în sistemul de control intern De mentionat ca auditorul ar trebui sa discute cu conducerea entitatii slabiciunile mediului de control si sa faca recomandari pentru întarirea acestuia Totodata el va utiliza slabiciunile identificate prin aplicarea chestionarului, în vederea formularii unor recomandari de remediere Analizarea riscului de control Evaluarea riscului de control se realizeaza în etapa de planificare a auditului Auditorul stabileste riscul de control prin evaluarea sistemului de control intern al entitatii auditate si prin determinarea eficacitatii activitatii auditorilor interni Evaluarea riscului de control se face în etapa de planificare (în baza unor informatii colectate de auditor), urmând a fi confirmata prin teste de control Controlul intern al entitatii auditate este conceput pentru asigurarea unei gestionari riguroase si eficiente a activitatii entitatii Pentru evaluarea riscului de control, auditorii vor aprofunda întelegerea structurii sistemului de control intern, prin revizuirea si documentarea functionarii acestuia în practica Daca auditorul doreste sa se bizuie pe sistemul de control intern (al entitatii auditate) atunci când avem un mediu de control bun este necesar ca aceasta sa testeze sistemul Exista si situatii în care auditorul poate decide sa nu aiba încredere în sistemul de control intern când avem un mediu de control slab În astfel de cazuri, el poate aprecia ca nu este necesara efectuarea de teste de control, iar riscul de control va fi evaluat la un nivel ridicat În mod obisnuit, auditorul trebuie sa testeze sistemul de control intern, sa se asigure daca acesta exista si daca a functionat corespunzator de-a lungul întregului an Una din metodele frecvent utilizate este metoda chestionarelor Evaluarea riscului de control necesita utilizarea rationamentului profesional al auditorului, fapt pentru care acesta poate fi caracterizat ca un proces subiectiv Evaluarea poate fi exprimata fie în termeni cuantificabili (ex: procente), fie în termeni necuantificabili (ex: scazut, mediu, ridicat) Riscul de nedetectare Definire Riscul de nedetectare (RN) reprezinta riscul ca o procedura de fond utilizata de auditor sa nu detecteze o informatie eronata ce exista în soldul unui cont sau categorie de tranzactii care poate fi materiala, în mod individual sau când este cumulata cu informatii eronate din alte solduri sau categorii Riscul de nedetectare mai este definit ca fiind riscul ca un auditor sa nu descopere acele erori materiale care nu au fost depistate de sistemul de control intern Riscul de nedetectare poate fi influentat de catre auditor prin schimbarea naturii, perioadei de timp si extinderea testelor de fond, aplicate asupra soldului unui cont Exemplu : Utilizarea unor proceduri mai numeroase si eficace, va avea ca rezultat un nivel mai scazut al riscului de nedetectare, decât atunci când utilizam proceduri mai putin eficace Riscul de nedetectare este determinat dupa stabilirea a doua componente ale riscului de audit: riscul inerent si riscul de control În determinarea riscului de nedetectare, auditorul va trebui sa ia în considerare, de asemenea, probabilitatea ca acesta a facut o eroare, cum ar fi neaplicarea unei proceduri de auditare sau neinterpretarea uneia din probele de audit obtinute Aceste aspecte ale riscului de nedetectare pot fi reduse (atenuate) printr-o planificare adecvata, o supervizare atenta, precum si prin respectarea standardelor de control a calitatii auditului Nivelul planificat al riscului de nedetectare poate fi revizuit (atunci când este necesar), pe baza probelor de audit obtinute (schimbari în evaluarile riscului inerent si de control pe parcursul efectuarii actiunii de audit) În cazul în care folosesc modelul riscului de audit, auditorii trebuie sa parcurga urmatorii pasi : a) stabilirea nivelului planificat al riscului de audit; b) evaluarea riscului inerent si a riscului de control; c) rezolvarea ecuatiei riscului de audit pentru stabilirea unui nivel corespunzator al riscului de nedetectare Atât riscul inerent, cât si riscul de control nu pot fi niciodata stapânite de auditor, spre deosebire de riscul de nedetectare care poate fi influentat de catre auditor CONCLUZII Riscul si incertitudinea au un impact important asupra unei persoane sau organizatii, prin faptul ca ele genereaza un cost, cunoscut sub denumirea de costul riscului Este general acceptat faptul ca riscul da nastere unor costuri specifice, care într-o lume cu certitudine absoluta n-ar exista Nivelul de siguranta constituie încrederea obtinuta prin aplicarea procedurilor de audit, în sensul ca erorile cumulate din situatiile financiare nu vor fi mai mari decât nivelul materialitatii Este necesar ca un auditor sa fie încrezator ca rezultatele si concluziile formulate la finalul auditului sunt corecte În general este agreat un nivel acceptabil al riscului de audit existent în timpul efectuarii auditului, care se refera la masura în care auditorul este dispus sa accepte ca situatiile financiare sunt eronate, dupa efectuarea auditului BIBLIOGRAFIE 1 M Ghita, E Ghita, A G Manta, D Voinea - Guverananta corporativa si auditul intern, Ed Universitaria, Craiova, 2009 2 E Ghita - Control intern si audit public intern, Ed Sitech, Craiova, 2008 3 E Ghita - Audit public intern, Ed Sitech, Craiova, 2007 10 